Die Patches stecken in Version 26.001.21411 von Acrobat DC und Acrobat Reader DC sowie in den Versionen 24.001.30362 und 24.001.30360 von Acrobat 2024. Adobe stuft die Schwachstelle als kritisch ein und vergibt einen CVSS-Wert von 9,6. Ursache ist laut Hersteller eine unzureichend kontrollierte Veränderung von Prototyp-Attributen, über die sich beliebiger Code ausführen lässt.

Als Melder der Lücke nennt Adobe den Sicherheitsforscher Haifei Li. Li war zuvor unter anderem bei Fortinet, McAfee, Microsoft und Check Point tätig und ist Gründer von Expmon, einem Sandbox-System zur Erkennung dateibasierter Exploits.

Auf den Zero-Day stieß Li bei der Analyse eines ausgefeilten PDF-Exploits, der auf Expmon hochgeladen worden war. Der von ihm identifizierte Exploit war darauf ausgelegt, Informationen abzugreifen. In seiner ersten Veröffentlichung warnte der Forscher jedoch, dass spätere Stufen der Exploit-Kette eine Remote-Code-Ausführung und einen Ausbruch aus der Sandbox umfassen könnten. Adobe bestätigt, dass die Ausnutzung von CVE-2026-34621 zur Codeausführung führen kann und sich nicht auf das bloße Offenlegen von Informationen beschränkt.

Auf Grundlage der Analyse eines auf VirusTotal hochgeladenen Exploit-Musters kamen Forscher zu dem Schluss, dass die Angriffe bereits im November 2025 begannen.

Li geht davon aus, dass eine APT-Gruppe hinter den Attacken steckt. Ein Analyst für Bedrohungsdaten, der unter dem Pseudonym Gi7w0rm auftritt, wies darauf hin, dass die schädlichen PDF-Dateien russischsprachige Köder verwendeten und auf aktuelle Entwicklungen im russischen Öl- und Gassektor Bezug nahmen.

Wer genau hinter den Angriffen steht, dürfte sich in den kommenden Tagen klarer abzeichnen, wenn weitere Fachleute die Exploits untersuchen. Li hat technische Details veröffentlicht, andere haben Kompromittierungsindikatoren (IoCs) bereitgestellt, mit denen sich eine mögliche Ausnutzung von CVE-2026-34621 erkennen lässt.